Google behebt SQL Injection Lücke

Im Juni des Jahres 2013 entdeckten wir eine SQL Injection Lücke in einem Google Dienst, welche von Googles Security Team schnell behoben wurde.

Am 13.06.2013 wollten wir ein paar Sicherheitslücken bei Google finden. Wir entschiedens uns für die Webseiten der verschiedenen durch Google übernommenen Unternehmen. Eine Liste der sogenannten Akquisitionen durch Google konnte man leicht auf Wikipedia entdecken..

Es war also ein leichtes sich eine Domainliste aller übernommenen Dienste zu erstellen, und jede Seite einem kurzem Test zu unterziehen. Bei dem Unternehmen “Meebo” fiel uns eine Subdbomain namens “preview” ins Auge. Die Webseite, welche dort bereitgestellt wurde, enthielt viele XSS Lücken. Diese Lücken dienten als erstes Indiz für die Existenz weiterer Sicherheitslücken. Ein paar Seitenaufrufe später, hatten wir unsere erste SQL Injection bei Google entdeckt.

Wir kontaktierten sofort Googles Security Team über das entsprechende Formular und wählten die Option

1

Immediately. If needed, get people out of bed.

Die Seite schien nicht so stark besucht bzw. im Visier von Angreifern gewesen zu sein, um Mitarbeiter aus deren Betten zu holen, doch die dazu eingeblendete Info machte deutlich, dass man diese Option bei SQL Injection auswählen sollte.

Bereits 4 Stunden später erhielten wir die berühmte Antwort von Google, dass unsere Lücke valid gewesen sei:

1

Nice catch! I’ve filed a bug and will update you once we’ve got more information.

Am nächsten Morgen bemerkten wir, dass die entsprechende Subdomain nicht mehr erreichbar war. (Mittlerweile ist dieser Dienst komplett eingestellt worden.) Es dauerte 10 Tage (23.06.2013) bis Google uns mitteilte, dass die SQL Injection Lücke in der Akquisitionen für eine Belohnung von $3133.7 qualifiziert. (Für Nicht-Geeks: 31337 steht für “Elite” ;) )

Nach ungefähr zwei Wochen (10.07.2013) bestätigte man uns die Schließung der Lücke. Zuletzt erhielten wir noch einen Eintrag in der Hall of Fame von Google, wenn auch in der falschen Sektion.

Nichtdestrotz möchten wir uns bei Google für die Möglichkeit der Teilnahme am Bug Bounty bedanken und freuen uns einem der weltgrößten IT-Unternehmen im Bereich Sicherheit zur Seite gestanden zu haben.

Das Team der Internetwache.org

Screenshots

Screenshot der SQL Injection auf meebo.com